package cmd

import (
	"errors"
	"fmt"
	"os"
	"os/exec"

	"oc_contributor_chenliangzhu/pkg/build"
	"oc_contributor_chenliangzhu/pkg/logging"

	"github.com/spf13/cobra"
)

var ScanCmd = CreateScanCmd()

func CreateScanCmd() *cobra.Command {
	var (
		scanFormat   string
		scanSeverity string
		exitCode     int
		scanOutput   string
	)

	var scanCmd = &cobra.Command{
		Use:   "scan [package]",
		Short: "构建并扫描 Go 应用镜像中的漏洞",
		Long: `scan 命令首先构建一个容器镜像，然后使用 Trivy 对该镜像进行漏洞扫描。
此命令依赖于本地安装的 Trivy 工具。

示例:
  # 扫描当前目录的Go应用，并显示高危和严重漏洞
  gopack scan .

  # 扫描指定路径的应用，并将JSON格式的所有漏洞报告保存到文件
  gopack scan ./cmd/app -o report.json --format=json --severity=UNKNOWN,LOW,MEDIUM,HIGH,CRITICAL

扫描报告内容:
scan 命令利用 Trivy 生成扫描报告。报告内容（以 JSON 格式为例）主要包含以下结构化信息：

- ArtifactName: 您扫描的目标镜像名。
- ArtifactType: 被扫描的目标类型，通常是 container_image。
- Results: 一个结果数组，其中每个漏洞条目包含：
    - VulnerabilityID: 漏洞的唯一标识符 (例如 CVE-2021-44228)。
    - PkgName: 受影响的软件包名称。
    - InstalledVersion: 软件包的当前版本。
    - FixedVersion: 修复了该漏洞的版本。
    - Severity: 漏洞的严重性级别 (例如 HIGH, CRITICAL)。
    - Title: 漏洞的简短描述。
    - PrimaryURL: 指向漏洞详情的主要链接。`,
		Args: cobra.ExactArgs(1),
		RunE: func(cmd *cobra.Command, args []string) error {
			// 1. 检查 Trivy 是否已安装
			if _, err := exec.LookPath("trivy"); err != nil {
				return errors.New("错误: trivy 未在 PATH 中找到。\n请先安装 Trivy: https://github.com/aquasecurity/trivy#installation")
			}

			// 2. 复用构建逻辑
			logging.Infof("Step 1: Building image for scanning...")
			builder, err := build.NewBuilder(false, args, "gopack_image.tar")
			if err != nil {
				return fmt.Errorf("创建构建器失败: %w", err)
			}
			if err := builder.Build(); err != nil {
				return fmt.Errorf("构建镜像失败: %w", err)
			}
			logging.Infof("Image build complete: gopack_image.tar")

			// 3. 执行 Trivy 扫描
			logging.Infof("\nStep 2: Scanning image with Trivy...")
			const tarPath = "gopack_image.tar"

			trivyArgs := []string{
				"image",
				"--input", tarPath,
				"--format", scanFormat,
				"--severity", scanSeverity,
				"--exit-code", fmt.Sprintf("%d", exitCode),
			}

			if scanOutput != "" {
				trivyArgs = append(trivyArgs, "--output", scanOutput)
			}

			trivyCmd := exec.Command("trivy", trivyArgs...)
			trivyCmd.Stderr = os.Stderr

			// 如果用户没有指定输出文件，则将结果打印到标准输出
			if scanOutput == "" {
				trivyCmd.Stdout = os.Stdout
			}

			logging.Debugf("Executing: %s", trivyCmd.String())

			if scanOutput != "" {
				logging.Infof("Saving scan report to %s...", scanOutput)
			} else {
				logging.Print("-------------------- TRIVY SCAN OUTPUT -------------------")
			}

			err = trivyCmd.Run()

			if scanOutput == "" {
				logging.Print("\n--------------------------------------------------------")
			}

			if err != nil {
				if exitErr, ok := err.(*exec.ExitError); ok {
					// 根据 Trivy 的行为，退出码 > 0 通常意味着发现了问题
					return fmt.Errorf("Trivy scan finished with exit code %d. This may indicate vulnerabilities were found", exitErr.ExitCode())
				}
				// 其他执行错误
				return fmt.Errorf("执行 Trivy 时出错: %w", err)
			}

			if scanOutput != "" {
				logging.Infof("Trivy scan report successfully saved to %s.", scanOutput)
			} else {
				logging.Infof("Trivy scan completed successfully.")
			}
			return nil
		},
	}

	scanCmd.Flags().StringVar(&scanFormat, "format", "table", "扫描结果的输出格式 (e.g., 'table', 'json', 'sarif')")
	scanCmd.Flags().StringVar(&scanSeverity, "severity", "HIGH,CRITICAL", "需要报告的严重性级别 (逗号分隔: UNKNOWN,LOW,MEDIUM,HIGH,CRITICAL)")
	scanCmd.Flags().IntVar(&exitCode, "exit-code", 0, "当检测到漏洞时，以该代码退出")
	scanCmd.Flags().StringVarP(&scanOutput, "output", "o", "", "将扫描报告保存到指定文件")

	return scanCmd
}

